跳转到内容

UNECE R 156

维基百科,自由的百科全书

UNECE R 156《软件更新及软件更新管理系统》(Software update and software update management system)是联合国欧洲经济委员会(UNECE)的世界车辆法规协调论坛(WP.29)发布的法规,列出车上电子控制器(ECU)软件更新的需求。

要求

[编辑]

供应商在以下情形时,需提供软件更新管理系统(SUMS)正常运作的佐证:

  • 车辆开始贩售时。
  • 车辆的软件更新时(就算软件已在道路上验证过也是一样)
  • 和核可有关的模组可以更新软件时。

此法规要求供应商需建立软件更新管理系统(SUMS),并且向审查机构或是审查机构核可的测试机构提供证明。ISO 24089《道路车辆--软件更新工程》在2023年2月发布,其目的就是详细叙述适合汽车产业的相关措施。

目的

[编辑]

软件更新管理系统(SUMS)的目的是要确保和车辆型式审查有关的软件功能(如废气排放、刹车、引擎控制),在软件更新后仍然可以符合相关法规。R 156要求软件更新是"safe and secure",没有提到细节。每一家供应商需自行确认细节,并且确保细节符合R 156的抽象要求。

此处的safe和secure的定义大致如下:

  • safe是指不会因软件错误导致误动作而影响安全性。汽车产业的ISO 26262说明了功能安全的相关要求。像汽车的安全气囊若在没有加速时就自行触发,就是危险的误动作。
  • secure是指不会因更新过程中被操纵而影响安全性[1],这可以用网络安全的分析方式(如ISO/SAE 21434)来检视。例如,更新机制中需预防植入恶意软件及不当调校软件。

另外,R 156也有考虑软件更新失败的情形,此时软件需可以正常运作,或是维持在安全状态[2]

佐证

[编辑]

软件更新管理系统(SUMS)中包括某一型式的车辆安全发布软件更新的程序和方法。R 156本身没有具体说明软件更新管理系统应有的内容,其中是制造商以系统化的方式开发及发布软件更新,也就是定义软件更新开发、检查以及发布的流程。

为了让公司可以展示已建立了有效的软件更新管理系统,软件更新管理系统需包括以下的内容:

  • 当新车型要经过型式审查时,需向核可单位提供证书。
  • 测试(评估)需由核可单位或是经过核可的独立实验室进行。
  • 每三年需再经过评估,才能延长证书的效期。
  • 在车型的生命周期结束后,需要取消该车型的软件更新管理系统。

每一次的型式核可,都需要验证软件更新管理系统[3]

范围

[编辑]

依照UNECE R 155,需在以下分类的车辆上实施网络安全管理系统[4]

  • M类: 四轮以上的轿车
  • N类:四轮以上的货车
  • O类、R类:至少有一个电子控制器拖车,也包括农业或是林业使用的拖车。
  • S类:牵引式农业机械,例如耙车、犁车、割草机、打捆机。
  • T类:拖拉机

其中的例外是L类,包括有二轮车、三轮车以及非常轻的四轮车(小于450公斤)。

只有可以更新软件的车辆,才需要软件更新管理系统(SUMS)。

软件

[编辑]

UNECE R 156 针对软件的特性只有一个要求:软件需要接收RX软件识别码(R X SWIN),在软件更新前后都要可以读取,至少可以透过OBD界面读取[5]

其中的X代表软件需要遵守的欧盟法规编号,例如,刹车辅助系统受到UNECE R 139的管理,因此其软件需接收R139SWIN[6],不过UNECE R 156中没有说明SWIN资料的结构。RXSWIN不能重复[7]

每一次的更新都需有文件说明细节,而且要用易于理解的方式说明[8]

空中更新(OTA)

[编辑]

假如软件是透过空中界面空中编程(over-the-air, OTA),还需符合以下的规定[9]。因为软件更新过程中,可能不是在专门的修理站进行,也没有受过训练的专业人士进行监控,因此 R 156要求供应商的SUMS针对更新流程评估以下事项,并且提供适当的对策。

  • 若是在车辆行驶时进行更新,更新不能影响汽车的安全性。
  • 若此更新需要复杂的介入措施,那只有在介入措施进行后,更新程序才算全部完成。R 156有举例说像是感测器的重新校正,这可能就需要专业的知识。
  • 若更新失败,需确认系统还原到更新前的状态,或是维持在安全状态(依ISO 26262的定义)。例如刹车、方向盘或引擎的更新失败后,引擎不启动,或是主动巡航功能更新失败之后,不予启动,都是安全状态。
  • 需要有足够的电力(电池电量)以完成软件更新,并在更新后回到更新前状态,或是维持在安全状态。
  • 在更新前需告知驾驶更新的目的,受影响的功能,更新需要的时间,以及更新时无法使用的功能等,也需要有说明文件,可以安全的进行更新。更新后需告知驾驶,更新是否完成,此次更新是否在手册上有对应的修改。
  • 若在车辆行驶时更新可能会影响安全性,制造商需告知驾驶此一更新只能在车辆安全的条件下才能进行。

相关问题

[编辑]

R 156要求每一型车辆的型式核可都要认证,确认其SUMS的效用。但是是否可以用已有的佐证(例如像类似IATF 16949,针对整个车辆的定期稽核)来对数个型式的车辆进行型式核可,而不是对每一型车辆进行检验,目前还没有答案。

以车厂的观点,不更新个别零件,就没有义务将SUMS扩展到该零件,对车厂会比较有利。若零件是由供应商提供,故障可能只能用更换零件来修正,因此增加供应商的保修风险。

相关条目

[编辑]

参考资料

[编辑]
  1. ^ UNECE R 156, Section 7.2.1.1, Section 7.1.3
  2. ^ UNECE R 156, Section 7.2.2.1.3
  3. ^ UNECE R 156, Section 3
  4. ^ UNECE R 156, 1.1节
  5. ^ UNECE R 156, 7.2.1.2.2节
  6. ^ UNECE R 156, 7.1.1.3节
  7. ^ UNECE R 156, 7.2.1.2.1节
  8. ^ UNECE R 156 7.1.2.5节
  9. ^ UNECE R 156 7.1.4节,7.2.2节

文献

[编辑]